收藏本站

取证中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 4934|回复: 42
收起左侧

[时间] 某取证群关于硬盘格式化时间的讨论

  [复制链接]
发表于 2015-11-25 18:00:03 | 显示全部楼层 |阅读模式
本帖最后由 胡壮 于 2015-11-25 17:54 编辑

14:34:26
   硬盘最后一次什么时候格式化的能鉴定得出来吗?

甲14:36:03
图片1.png
这个文件夹的创建时间是不是该分区最后一次被格式化的时间??

乙15:07:23
用这个不太准,看$MFT文件的时间属性更好

甲15:26:39
图片2.png

甲15:26:51
   恩。

甲15:27:11
   $MFT文件三个时间怎么都是同一个时间啊?

乙15:31:47
格式化时的时间

甲15:34:12
     在分区内写入数据时,$MFT文件不是会被修改吗?为什么三个时间都一样啊?

甲15:34:40
  $MFT文件修改时间不应该是该分区最后一次被写入数据的时间吗?

游客,如果您要查看本帖隐藏内容请回复
回复

使用道具 举报

发表于 2015-11-25 20:08:41 | 显示全部楼层
本帖最后由 学无涯 于 2015-11-25 20:16 编辑

这个得学习一下

$MFT 在系统格式的时候(初始化),这个时候的时间。

向该分区写入新文件的时候,$MFT的文件长度发生变化的时候就会体现出时候的变化?

文件长度发生变化,因为$MFT初始化的时候,有保留记录(目前的win7、win8的保留记录是256条文件记录)

保留记录不使用完毕的情况下,文件长度是不会发生变化。  

个人意见,仅供参考
回复 支持 反对

使用道具 举报

发表于 2015-12-2 00:12:25 | 显示全部楼层
创建,修改,访问时间不足以证明时间的问题。文件系统是由操作系统创建的。因此文件系统的所有时间改变,都应该是因为操作系统的操作而改变的。我们举一个例子,一个Windows操作系统创建的FAT32文件系统的磁盘,放入MacoS或Linux操作系统下,一样会对Fat32文件系统的数据造成更改。因此说,文件系统的数据改变,应该依靠操作系统。文件系统之所以改变,是因为数据发生了变化。数据发生变化,一是在于数据的增加和内容的改变。另外一个就是在数据不改变的情况下操作系统某些应用程序对文件的属性造成了改变。例如修改时间和访问时间。简单的例子就是打开一个文件不做任何修改就关闭这个文件,或者是查病毒软件对一些列的文件进行扫描,发生的时间改变。还有就是例如我们在NTFS的数据流中插入数据,原始文件本身的时间不会改变,但是“系统更新时间”会发生改变。所以说,我们不能仅仅参照创建,修改和访问时间去考虑问题。要进一步地去查看“内部更新时间”和“元数据”。胡坛主说的MFT是否是文件系统造成的改变,我个人认为还是操作系统更新了MFT,造成了文件系统的改变。还有,格式化时间,我认为Windows下,NTFS文件系统元数据的创建时间是很能说明问题的。MacOS系统下,磁盘工具的擦除、格式化的Log文件也能帮助我们解释这个问题。
回复 支持 1 反对 0

使用道具 举报

发表于 2015-11-26 00:52:34 | 显示全部楼层
虽然看的不是很懂,但感觉好像很有用。看看完整内容
回复 支持 反对

使用道具 举报

发表于 2015-11-26 09:27:45 | 显示全部楼层
看看,学习下
回复 支持 反对

使用道具 举报

发表于 2015-11-26 09:37:38 | 显示全部楼层
这种形式的资料还是很有吸引力,支持~
回复 支持 反对

使用道具 举报

发表于 2015-11-26 10:04:08 | 显示全部楼层
学习下完整内容
回复 支持 反对

使用道具 举报

发表于 2015-11-26 10:05:45 | 显示全部楼层
学习下完整内容
回复 支持 反对

使用道具 举报

发表于 2015-11-26 10:54:10 | 显示全部楼层
感谢楼主分享。
回复 支持 反对

使用道具 举报

发表于 2015-11-27 09:38:06 | 显示全部楼层
藏了啥                             
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-11-29 13:39:26 | 显示全部楼层
$MFT是文件系统的元文件,不知道其时间戳规律是否和普通文件一样。另外我比较好奇的是,文件时间戳的变化,是操作系统造成的,还是文件系统造成的?一般文件时间戳的变化是下午操作系统访问了文件,而MFT文件的变化,是文件系统直接造成的。不知道我理解的对不对,望专家指正
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|    

GMT+8, 2017-12-16 20:57

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表